পাসওয়ার্ড সাইন আপ ইমেল। খারাপ অনুশীলন? পিসিআই অনুগত?

আমরা ম্যাজেন্টো এন্টারপ্রাইজ (1.12) ব্যবহার করি এবং আমার বেশ কয়েকটি গ্রাহক আমাকে ইতিমধ্যে ইমেল করেছেন যে তারা কোনও অ্যাকাউন্টে সাইন আপ করার সময় ইমেলের মাধ্যমে তাদের পাসওয়ার্ড পেয়েছিল। আমি জানি এটি খারাপ অভ্যাস হিসাবে বিবেচিত হয়, তবে বাক্সের বাইরে ম্যাজেন্টো নিয়ে আসে।

আমি এটি পরিবর্তন করতে এবং এটি ইমেল টেমপ্লেট থেকে সরাতে যাচ্ছি, যা যথেষ্ট সহজ, তবে আমি খুব কৌতূহলী ছিলাম যে ম্যাগেন্টো এটি দীর্ঘকাল অনুশীলন হিসাবে বিবেচিত হলে এটি কেন করে? আমি জানি যে কোনও ব্যবহারকারীর অ্যাকাউন্টে সংবেদনশীল তথ্য রয়েছে খুব কম, এবং আমরা ক্রেডিট কার্ডের বৈধতা দিয়ে থাকি তবে "ম্যাজেন্টো এন্টারপ্রাইজ এটি সেভাবে করে, তাই এটি অবশ্যই ঠিক আছে।" আমার কাছে দেওয়ার মত একটি খারাপ উত্তর বলে মনে হচ্ছে ..

এছাড়াও, অনেক ম্যাজেন্টো বিকাশকারী ফোনের বৈধতা অপসারণ করার মতো কোনও নতুন ম্যাজেন্টো সাইট তৈরি করার সময় ঘন ঘন 'করণীয় তালিকা "ঠিক করে রাখেন?

ইমেলটির মাধ্যমে নিবন্ধকরণের সময় কোনও গ্রাহক যে পাসওয়ার্ডটি তারা সরবরাহ করেছিলেন তা কী ভাল অনুশীলন (সুরক্ষা দৃষ্টিকোণ থেকে)?

না, এটা অবশ্যই না!

আমরা কি ক্লায়েন্টদের জন্য প্রায়শই এটি পরিবর্তন করি?

দুর্ভাগ্যক্রমে আমরা না। আমাদের সম্ভবত হওয়া উচিত, তবে এটি সাধারণত চিন্তার তালিকার নিম্নতম আইটেমগুলির মধ্যে একটি। বিগত ৫ বছরে আমি কেবল একটি ক্লায়েন্টকে এ সম্পর্কে জিজ্ঞাসা করেছি। এটি এমন কোনও গ্রাহকের কাছ থেকে জ্বলন্ত ইমেল পাওয়ার পরে যারা তাদের পাসওয়ার্ডের জন্য ইমেল পাঠানোয় খুব বেশি খুশী ছিল না এবং তারপরে কে সাইটটিকে একটি অর্ডার দেওয়ার জন্য তাদের সিসি তথ্য দেওয়ার সুরক্ষা নিয়ে প্রশ্ন তুলছিল।

আমি কোনও নতুন স্টোরের জন্য এই পরিবর্তনটি করার জন্য সুপারিশ করব। এটি অল্প পরিমাণের জন্য মূল্যবান এবং আমি নীচে উল্লিখিত "সুবিধাগুলি" সুরক্ষিতভাবে পাসওয়ার্ড সংক্রমণ করার ঝুঁকির পক্ষে উপযুক্ত নয়।

নতুন অ্যাকাউন্টের ইমেলটিতে পাসওয়ার্ড সহ কী কী সুবিধা রয়েছে?

হ্যাঁ, রয়েছে (যদিও আইএমও তারা সত্যিকারের উপকারী নয়)। এটি সম্ভবত কিছু সাইটের জনসংখ্যার উপর নির্ভর করে এবং দুর্ভাগ্যক্রমে আমার এখানে কোনও পরিসংখ্যান নেই তবে লোকেরা পাসওয়ার্ড হারিয়ে ফেলে lose আমার মতো লোকেরা সমস্ত কিছুর জন্য অনন্য পাসওয়ার্ড ব্যবহার করে এবং কীচেইনে সংরক্ষণ করে রাখেন, তবে বেশিরভাগ লোকেরা এগুলি স্টিকি নোটে লিখে রাখেন না, কম্পিউটারে টেপ করেন বা তাদের নিজের কাছে ইমেল করেন। যে গ্রাহক অর্ডার দিতে পারবেন না কারণ তারা লগ ইন করতে পারে না তা হ'ল অর্ডার / গ্রাহক বা অসন্তুষ্ট গ্রাহক যা কোনও সিএসআর অবশ্যই সাইটের ব্যবহারে সহায়তা করবে।

আমি একেবারেই বলছি না যে এটি সুরক্ষার ঝুঁকির পক্ষে যদিও এটি মূল্যবান করে তোলে! তারা প্রথম স্থানে ইমেলগুলিতে আসার কারণ হিসাবে এটি কেবলমাত্র "যুক্তি"।

একটি বড় বিষয় যা খেলতে আসে তা হ'ল সরল সত্য যে লোকেরা এখনও বিভিন্ন পাসওয়ার্ড একই জায়গায় ব্যবহার করে। আপনার নির্দিষ্ট ওয়েবসাইটের কোনও একক গ্রাহক অ্যাকাউন্টের সাথে আপস করা হলেও তা গুরুত্বপূর্ণ না হলেও, পাসওয়ার্ডটি অ্যাকাউন্টগুলিতে আপস করতে ব্যবহার করা যেতে পারে যা আরও সংবেদনশীল প্রকৃতির হতে পারে। কোনও ইকমার্স সাইটে পিআইআই থাকে না তা নয়, তবে এটিতে সাধারণত একই ধরণের সংবেদনশীল তথ্য থাকে না যা একটি ব্যাংক করবে উদাহরণস্বরূপ।

স্বতন্ত্র ইকমার্স স্টোরের জন্য ঝুঁকি অনেক গ্রান্ডারে পরিণত হয় (পাসওয়ার্ড ক্রস-পলিনেশন থেকে স্বতন্ত্র) যখন সহজ পুনরায় অর্ডারিং এবং ক্রয় সক্ষম করার জন্য ক্রেডিট কার্ডের তথ্য সংরক্ষণ করা হয়। এটি অনাহৃত ব্যবহারকারীদের অ্যাকাউন্টে প্রবেশ করা, গ্রাহকের ক্রেডিট কার্ডে ক্রয় করা এবং অর্ডার অন্য কোথাও প্রেরণ করার ঝুঁকিটি আপনাকে উন্মুক্ত করে।

ম্যাজেন্টোর কোন সংস্করণ ব্যবহৃত হচ্ছে, এক্ষেত্রে খুব বেশি কিছু যায় আসে না। আমি যে সংস্করণ নিয়ে কাজ করেছি (EE 1.13 সহ) গ্রাহকের অ্যাকাউন্টের পাসওয়ার্ডটি প্রারম্ভিক অ্যাকাউন্ট তৈরির পরে ইমেলের মাধ্যমে ক্লিয়ারটেক্সটে প্রেরণ করে। নতুন সংস্করণগুলিতে পাসওয়ার্ড পুনরায় সেট করা ইমেলগুলিতে পাসওয়ার্ড অন্তর্ভুক্ত হয় না এবং পরিবর্তে মেয়াদ শেষ হওয়া লিঙ্কটি বেছে নেয়। আপনি যদি প্রশাসকের কাছ থেকে পাসওয়ার্ড পুনরায় সেট করেন, একই পরিস্থিতি, এটি ক্লিয়ারটেক্সটে প্রেরণ করা হয়েছে।

অ্যাকাউন্ট নিবন্ধকরণ ইমেলগুলিতে পাসওয়ার্ডটি প্রেরণ করা থেকে রোধ করা বেশ সহজ এবং কয়েকটি সহজ পদক্ষেপ অনুসরণ করে খুব সহজেই ম্যাজেন্টো অ্যাডমিন থেকে করা যেতে পারে:

1. সিস্টেম> লেনদেনমূলক ইমেলগুলিতে যান

2. নতুন টেম্পলেট যুক্ত করুন বোতামটি ক্লিক করুন

3. টেমপ্লেট ড্রপ ডাউন থেকে, "নতুন অ্যাকাউন্ট" চয়ন করুন

4. লোড টেম্পলেট বোতামটি ক্লিক করে ফর্মটিতে টেমপ্লেটটি লোড করুন

5. টেমপ্লেটে নিম্নলিখিত কোডের লাইনটি সন্ধান করুন এবং এটি সরিয়ে দিন:

   <strong>Password</strong>: {{htmlescape var=$customer.password}}<p>

6. ইমেলের প্রকৃতিটি আরও ভালভাবে প্রতিবিম্বিত করতে টেমপ্লেটে অনুলিপিটি সম্পাদনা করুন। ডিফল্ট টেম্পলেটটির অংশগুলি (উদা: "নিম্নলিখিত মানগুলি") পাসওয়ার্ড উপস্থিত না করে অর্থবোধ করবে না ...

~ 1.6.1-আরসি সিই ম্যাজেন্টো দুটি ভিন্ন পাসওয়ার্ড রিসেট টেম্পলেট সহ জাহাজগুলি । একটিতে পাসওয়ার্ডের প্লেটেক্সট, অন্যটি পুনরায় সেট করার লিঙ্ক রয়েছে। রিলিট লিঙ্ক টেম্পলেট ফাইলের account_password_reset_confirmation.htmlনামটি যখন সরল টেক্সট পাসওয়ার্ড ইমেল ফাইল বলা হয়password_new.html

যাও:

System > Configuration > Customers > Customer Configuration > Password Options

"ভুলে যাওয়া ইমেল টেম্পলেট" এর মানটি "ভুলে যাওয়া পাসওয়ার্ডে (স্থানীয় থেকে ডিফল্ট টেম্পলেট) এ পরিবর্তন করুন।

সম্পাদন করা

পুনরায় পড়ার পরে (এবং @ ডেভিডালগার এমন মৃদু হওয়া) আমি ভুল ব্যাখ্যা করতে পারি। তবে নতুন গ্রাহক সাইনআপ ইমেলের পাসওয়ার্ড অনুস্মারক ক্ষেত্রটি অপসারণ করা খুব সহজ। লাইনটি সম্পাদনা করুন (~ লাইন 34):

<strong>Password</strong>: {{htmlescape var=$customer.password}}<p>

ফাইলটিতে app/locale/en_US/template/email/account_new.html।

অথবা, কেবলমাত্র ডেভিডাল্গারের উত্তরটি উপভোগ করুন এবং গ্রহণ করুন কারণ তিনি এটির প্রাপ্য!

দ্রষ্টব্য যে 1.9.x (এবং সম্ভবত এর আগে) এর মধ্যে অন্য একটি টেম্পলেট রয়েছে (এছাড়াও

নতুন অ্যাকাউন্ট টেমপ্লেট) পরিবর্তন করতে: নতুন অ্যাকাউন্ট নিশ্চিতকরণ কী টেম্পে

দেরি স্বচ্ছ পাঠ্যেও পাসওয়ার্ড প্রেরণ করে।

দ্রষ্টব্য যে ১.৯.x (এবং সম্ভবত এর আগে) New Accountপরিবর্তনের জন্য অন্য একটি টেম্পলেট রয়েছে (টেম্পলেট ছাড়াও ): টেমপ্লেটটি স্বচ্ছ পাঠ্যেও New Account Confirmation Keyপাসওয়ার্ড প্রেরণ করে।